标题:ASP+ACCESS安全问题
只看楼主
xiaoguizi106
Rank: 1
等 级:新手上路
帖 子:53
专家分:0
注 册:2006-11-30
 问题点数:0 回复次数:11 
ASP+ACCESS安全问题

那位大虾有最安全的 的代码
大家分享一下
顺便在讨论讨论

搜索更多相关主题的帖子: ACCESS ASP 
2006-12-01 17:12
做人很低调
Rank: 5Rank: 5
等 级:贵宾
威 望:18
帖 子:1268
专家分:0
注 册:2006-8-2
得分:0 
偶没有 不知道你指的是什么方面的安全。。。
去动网下个论坛系统研究一下吧
我想那个应该很安全。。。

其实我很低调,只是你不知道...
2006-12-01 17:22
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:0 

一般本人所知的网站安全漏洞。
SQL注入漏洞、参数验证漏洞、数据库连接漏洞、图片上传漏洞。
SQL注入漏洞:
主要是通过在网页上输入非法SQL语句,提交到服务器来实现的。
一般此类漏洞的危害是,黑客直接获得管理员权限。非法修改数据库数据。
简单的原理就是比如我们验证用户名密码经常用如下的形式SQL语句
select * from where usname=XXX and pwd='&XXX&"'"
提交错误的用户名密码,肯定无法登陆。比如有管理员账号admin
而在SQL语句里"--"这个符号代表注释符号,后面的SQL语句就不会被执行。
而如果对于参数验证不严格,输入如下信息登陆
用户名:admin --密码:aaaa
这里密码是随便输入的,而生成SQL语句时就变成了
select * from where usname='admin' --and pwd='aaa'
这样后面的pwd就可能被注释掉而select * from where usname='admin'这句SQL语句执行后一定会返回结果,
如此方法即可不用破解密码就使用了管理员登陆了系统。
这只是SQL注入的一种办法而已,因为SQL语句众多,黑客有可能提交一些SQL语句删除或更改数据库中的数据。

2006-12-01 22:55
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:0 

参数验证漏洞
一些网站对于如xxx.asp?id=xx
中的ID参数验证不严谨,无验证或无错误处理。尤其是Access数据库的网站,这就会给黑客可乘之机。
首先如果一些SQL语句出错的话有可能会显示如下的系统错误信息的形式
[xxx]xxxx错误
出错数据库:xxx\xxx\xxx.mdb
而其中的xxx.mdb正是数据库的路径或名称。
所以在URL地址中故意输入错误的ID如-99999等等,就有可能出现这种系统错误提示。
这样黑客就得到了数据库的名称和地址,将数据库下载之后,数据库再未加密的话,数据信息就一览无余了。
这种就是著名的暴库漏洞,通过爆出错误信息,得到数据库地址。

2006-12-01 23:01
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:0 

数据库连接漏洞
一般写ASP程序很习惯写在如condb.inc这样的文件中。
这里面会有数据库的名称和地址,如果黑客找到这种inc文件。可以通过浏览器http直接下载,得到数据库地址。
因此这种漏洞的解决办法就是要么加密数据库地址,要么连接信息写在condb.asp中防止http下载。
图片上传漏洞
一般的图片路径都是如"X:xxx\xxx\xxx.jpg"
而学过C语言的应该知道\0代表字符串结束标记。
而一般的上传程序验证不严格验证文件只取字符串中最后一个.号的后所有字符串。
因此随便找一个ASP木马程序上传时输入如下上传路径
X:\xxx\xx\xxx.asp\0.jpg
这时看似上传的是jpg图片,其实真正上传的是xxx.asp程序,这样ASP木马就被上传到服务器上了。
在URL中运行ASP木马,剩下的结果就不用说了吧,服务器信息一览无余。

2006-12-01 23:13
lostopen
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2006-11-6
得分:0 
学习了
这些都是经常用的语句
2006-12-02 08:24
做人很低调
Rank: 5Rank: 5
等 级:贵宾
威 望:18
帖 子:1268
专家分:0
注 册:2006-8-2
得分:0 
学习。。。。感谢

其实我很低调,只是你不知道...
2006-12-02 08:38
xiaoguizi106
Rank: 1
等 级:新手上路
帖 子:53
专家分:0
注 册:2006-11-30
得分:0 
版主很有研究哦!高人!
那么一般我们该怎么样写代码防止呢?或者说在哪些方面应该特别注意
2006-12-02 08:38
玉树临风
Rank: 1
等 级:新手上路
帖 子:49
专家分:0
注 册:2006-11-7
得分:0 
[转载]关于asp+access的安全问题

参考解决方案http://www.zebcn.com/html/200412/1473.html

[此贴子已经被作者于2006-12-2 9:26:11编辑过]

2006-12-02 09:07
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:0 

SQL注入漏洞的防止,一般是屏蔽并验证非法字符注入--%等等,规定用户注册只能输入英文或数字的用户名,不得带有其他字符。还有就是屏蔽用户名中的空格,因为SQL语句如admin delete * from xxx如果屏蔽掉空格,这句话在SQL里就是错误的语句。不会被执行,从而使黑客无法执行非法SQL语句。
参数验证漏洞防治方法,就是加强参数验证。对于URL传参一定要加验证,对于做好的程序,要加错误处理On Error Resume Next防止引发错误,或者自定义错误信息通过判断Err.Number的错误号,来显示自定义错误信息,不要显示系统错误信息。这样黑客无法通过错误信息获取数据库路径,比如在ID输入-999时,显示"ID错误","无此ID"或"数据库错误"等自定义错误消息。这种消息黑客就得不到数据库地址了。
图片上传漏洞,一般是对于\0等特殊标记加判断或判断.号个数,超过两个.号的为非法路径,这样杜绝黑客提交非法路径。

2006-12-02 15:01



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-106593-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.572433 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved